ネットワーク機器を標的とするマルウェア「VPNFilter」について
最終更新: 2018-05-24
2018年5月23日 (米国時間)、Cisco Talos から、ネットワーク機器を標的とする VPNFilter と呼ばれるマルウエアに関する調査結果が公開されました。この調査結果によると、VPNFilter の感染活動は 2016年から確認されており、今年 5月から世界中で感染活動が拡大していることから、対象デバイスのユーザに対して対策を呼び掛けています。
Cisco Talos によると、感染したデバイスの数は、少なくとも 54カ国 50万台と推定され、QNAP、Linksys、MikroTik、NETGEAR および TP-Link の製品が対象となっているとのことです。該当する機器の詳細については Cisco Talos の情報を参照してください。
Cisco Talos
New VPNFilter malware targets at least 500K networking devices worldwide
https://blog.talosintelligence.com/2018/05/VPNFilter.html
なお、調査は継続されており、現時点で公開されている対象製品や対策などの情報は更新される可能性があります。引き続き、ネットワーク機器ベンダやセキュリティベンダなどの情報にご注意ください。
Cisco Talos の調査結果によると、VPNFilter に感染した場合、次のような段階を経て情報窃取やシステム破壊を行うことが確認されています。
[第一段階]
・攻撃に必要なモジュールを C2 サーバから継続的にダウンロードするための環境設定
[第二段階]
・ファイル収集、デバイス管理などの情報窃取
・システム破壊等を実現するモジュールのダウンロード
[第三段階]
・通信内容の情報窃取や C2 サーバとの通信の秘匿化などの機能拡張
なお、VPNFilter に感染する原因はまだ判明していませんが、ネットワーク機器の既知の脆弱性やデフォルトの認証情報を悪用している可能性があるとのことです。
また、該当するネットワーク機器を使用しているユーザは、次の対策を実施することが推奨されています。
(1) 対象機器を工場初期出荷の状態にリセットし、再起動する
(2) ファームウエアやソフトウエアのバージョンを最新にする
(3) 感染挙動が確認された場合、機器の製造元へ相談する
次のページにおいても VPNFilter に関する情報が記載されておりますので参考にしてください。
US-CERT
VPNFilter Destructive Malware
https://www.us-cert.gov/ncas/current-activity/2018/05/23/VPNFilter-Destructive-Malware
Fortinet
Defending Against the New VPNFilter Botnet
https://www.fortinet.com/blog/threat-research/defending-against-the-new-vpnfilter-botnet.html
SOPHOS
VPNFilter – is a malware timebomb lurking on your router?
https://nakedsecurity.sophos.com/2018/05/23/vpnfilter-is-a-malware-timebomb-lurking-on-your-router/
NETGEAR
Security Advisory for VPNFilter Malware on Some Routers
https://kb.netgear.com/000058814/Security-Advisory-for-VPNFilter-Malware-on-Some-Routers
今回の件について、提供いただける情報がありましたら、当グループまでご連絡ください。今後、一定の情報収集と分析が整った段階で注意喚起を発行する予定があります。
早期警戒グループ
メールアドレス : [email protected]
Topへ
